|
|
虚拟专用网直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必需要确保其虚拟专用网上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。
在MPLS 虚拟专用网网络中,使用标签形式进行报文的转发,具有和ATM/FR虚电路相同的安全级别,可以保证通常应用的数据安全。
在安全性要求很高的场合可以应用加密隧道则进一步保护了数据的私有性、完整性,使数据在网上传送而不被非法窥视与篡改。
例如用户虚拟专用网中的用户需要有很重要数据通过虚拟专用网网络发送,可以通过IPSEC配置加密隧道选择性传送,加密隧道可以在用户路由器CE设备及其以下设备上配置。
用户在使用MPLS 虚拟专用网网络最关心的一个问题是MPLS 虚拟专用网的安全问题,那MPLS 虚拟专用网解决方案如何保证安全呢?
?
1、地址转换
地址转换用来实现私有网络地址与公有网络地址之间的转换。地址转换的优点在于屏蔽了内部网络的实际地址;外部网络不可能穿过地址代理来直接访问内部网络。
支持带访问控制列表的地址转换。通过配置,用户可以指定能够通过地址转换的主机,以有效地控制内部网络对外部网络的访问。结合地址池,还可以支持多对多的地址转换,更有效地利用用户的合法IP地址资源。
2、包过滤技术
IP报文的IP报头及所承载的上层协议(如TCP)报头的每个域包含了可以由路由器进行处理的信息。
在MPLS虚拟专用网解决方案中,包过滤防火墙可以设置在各个业务虚拟专用网的出口,也可以设置在整个企业网的出口,在拒绝互通的不同应用共同访问的资源出口节点设置包过滤策略是非常必要的。
3、防火墙的安全保护
防火墙可以保护内部网络的安全,可以使受保护的网络避免遭到外部网络的攻击。硬件防火墙应该可以支持若干个网络接口,这些接口都是LAN接口(如Ethernet、Token
Ring、FDDI),这些接口用来连接几个网络。在这些网络中进行的连接都必须经过硬件防火墙,防火墙来控制这些连接,对连接进行验证、过滤。
由于防火墙具有的特性,防火墙可以设置在私有网络的边界出。例如Internet的出口处、重要内部局域网的出口处等。这样可以更大的程度上保护这些私有网络的安全。 |
|
窥视卡
雷达卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡